Ein Team deutscher Wissenschaftler hat eine neue Angriffsmethode entwickelt, mit der sich Daten aus verschlüsselten PDF-Dateien extrahieren und stehlen lassen.
Der neue Angriff namens PDFex gibt es in zwei Versionen. Es war in der Lage, PDF-Daten in 27 Desktop- und webbasierten PDF-Readern zu stehlen, darunter Adobe Acrobat, Foxit Reader, Nitro und integrierte PDF-Viewer für Chrome und Firefox.
PDFex zielt eigentlich nicht auf die Verschlüsselung ab, die von externer Software für PDF-Dokumente verwendet wird. Stattdessen zielt der Angriff auf die Verschlüsselungsschemata des Portable Document Format (PDF) ab, was bedeutet, dass alle PDF-Dateien angreifbar sind, unabhängig von der Software, mit der sie angezeigt werden.
Während der PDF-Standard native Verschlüsselung unterstützt, entdeckte ein Team aus sechs Wissenschaftlern der Ruhr-Universität und der Universität Münster in Deutschland Probleme mit der Verschlüsselungsunterstützung des Standards und nutzte diese zur Erstellung von PDFex.
PDFex-Variationen
Laut einem von den Forschern veröffentlichten Blog-Beitrag sind verschlüsselte PDF-Dokumente anfällig für zwei Arten von Angriffen, von denen bekannt ist, welche Methode zur Durchführung des Angriffs und zur Exfiltration der Daten verwendet wird.
Die erste Variante, „direkte Exfiltration“ genannt, nutzt die Tatsache, dass PDF-Software nicht die gesamte PDF-Datei verschlüsselt, sondern Teile davon unverschlüsselt lässt. Durch die Änderung dieser unverschlüsselten Felder kann ein Angreifer eine abgefangene PDF-Datei erstellen, die versucht, den Dateiinhalt beim Entschlüsseln und Öffnen an den Angreifer zurückzugeben.
Die zweite Variante des PDFex-Angriffs zielt auf Teile einer verschlüsselten PDF-Datei ab. Mithilfe von CBC-Gadgets kann ein Angreifer in einer PDF-Datei gespeicherte Klartextdaten an der Quelle bearbeiten. Dies bedeutet, dass ein Angreifer mit einem CBC-Gerät verschlüsselte Inhalte ändern kann, um verschlüsselte PDF-Dateien zu erstellen, die ihre eigenen Inhalte über PDF-Formulare oder URLs an Remote-Server senden.
Alle PDFex-Varianten erfordern einen Angriff, um die verschlüsselten PDF-Dateien des Benutzers zu ändern. Dazu müssen sie jedoch entweder den Netzwerkverkehr eines Opfers abfangen oder sich physischen Zugriff auf dessen Geräte oder Speicher verschaffen.
Insgesamt stellt PDFex eine große Schwachstelle des PDF-Standards dar und das für den neuen Angriff verantwortliche Forschungsteam wird seine Ergebnisse nächsten Monat auf der ACM-Konferenz für Computersicherheit und Kommunikation vorstellen.
Über ZDNet